Banner Auslagerung

Services

Auslagerungen

Was sie über die veränderten Anforderungen an Auslagerungsvereinbarungen und Auslagerungsmanagement wissen sollten und wie wir Sie unterstützen können.

Neben § 25 BWG und dessen Anlage treten ab dem 30. Juni 2019 neue EBA-Leitlinien in Kraft, welche die bestehenden CEBS-Leitlinien und bisherigen EBA-Empfehlungen ablösen. Für Auslagerungsvereinbarungen und das Auslagerungsmanagement gelten ab dem 30. Juni 2019 wesentlich striktere Vorgaben.

Die EBA veröffentlicht mit diesem Entwurf (EBA/CP/2018/11) umfassende Regelungen zur Auslagerung von Geschäftstätigkeiten, insbesondere Kriterien zur Beurteilung von ausgelagerten Tätigkeiten, Dienstleistungen, Verfahren oder Funktionen in Bezug auf Wesentlichkeit und Qualität. Von den Aufsichtsbehörden wird eine wirksame Überwachung im Sinne einer Risikobeurteilung der Stabilität des Finanzsystems gefordert.

Anforderungen an das Auslagerungsmanagement

  • Erstellung von Auslagerungsrichtlinien zu den Grundsätzen, Prozessen, Zuständigkeiten, Analysen und Plänen der Auslagerung
  • Implementierung und periodische Qualitätsprüfung eines Notfallplans
  • Einrichtung eines Auslagerungsregisters zur Dokumentation und Klassifizierung aller Auslagerungen
  • Berücksichtigung der Anzahl an Vereinbarungen mit demselben Dienstleister bei der Wesentlichkeitsprüfung
  • Umfassende Due Diligence des Anbieters und seines Umfeldes sowie Prüfung auf Einhaltung der DSGVO
  • Durchführung von detaillierten Risiko- und Szenarioanalysen und Identifikation des Operationellen Risikos
  • Festlegung von Regelungen über Zulässigkeit und Ausgestaltung von Kettenauslagerungen
  • Definition von Daten- und Systemsicherheitsstandards sowie von einer entsprechenden periodischen Überprüfung
  • Klar definierte, erprobte sowie weitreichende Übergangs- bzw. Ausstiegsstrategien
  • Berücksichtigung von Informationsund Zustimmungspflichten gegenüber der Aufsicht
  • Bestellung eines Auslagerungsverantwortlichen/ einer Auslagerungsfunktion zur Wahrnehmung der Dokumentations und Aufsichtserfordernisse
Produktinformationsblatt zu "Auslagerungen"

Wesentliche weitere Bestimmungen

Überblick der Auslagerungen

Hinkünftig müssen Banken ihre ausgelagerten kritischen oder wesentlichen Funktionen laufend überwachen und sicherstellen, dass die Dienstleister „angemessen und korrekt“ Bericht erstatten. Hierzu müssen in der Auslagerungsvereinbarung Parameter (KPIs, KCIs) zur Bewertung und Überwachung des Dienstleisters sowie der
Identifikation von Schwachstellen festgelegt werden.

Due Diligence

Institute sollen im Rahmen einer Due Diligence die Geeignetheit des Dienstleisters in Bezug auf die Verfügbarkeit von Kapazitäten, Ressourcen und dessen Organisationstruktur überprüfen. Weiters muss sichergestellt werden, dass der Dienstleister die Erlaubnis zur Ausübung kritischer oder wesentlicher Funktionen sowie zur Verarbeitung/Aufbewahrung vertraulicher Daten verfügt.

Risikobeurteilung

Szenarioanalysen müssen in Zukunft erstellt werden, um Auswirkungen von (Sub-)Auslagerungsvereinbarungen auf das Operationelle Risiko beurteilen zu können. Hierbei müssen Aspekte wie Konzentrationsrisiken, Step-in Risiken
sowie Maßnahmen zur Risikominderung beachtet werden. Banken müssen sowohl quantitative als auch qualitative
Performance Ziele und Berichtspflichten bei wesentlichen bankbetrieblichen Auslagerungen determinieren.

Vertragsphase

Banken müssen sicherstellen, dass der Dienstleister angemessene Daten- und Systemsicherheitsstandards einhält und sowohl ihnen, der Aufsichtsbehörde als auch ausgewählten Dritten Zugangs- und Prüfungsrechte für periodische Kontrollen einräumt. Darüber hinaus müssen detaillierte Regelungen über die Zulassung und Ausgestaltung von Kettenauslagerungen getroffen werden.

Ausstiegsstrategien

Im Fall von Schlechterfüllung oder Nichterfüllung des Dienstleisters müssen Institute alternative Lösungen und Ausstiegs- und Übergangspläne entwickeln, um die Kontinuität und Qualität der Dienstleistungen auch in entsprechenden Krisensituationen langfristig sicherzustellen.

Informationspflicht an die Aufsicht

Banken müssen der Aufsichtsbehörde Zugang zu ihrem Auslagerungsregister gewähren und unterliegen darüber hinaus einer umfassenden Informations- und Zustimmungspflicht gegenüber der Aufsicht bei zeitnahen und geplanten Auslagerungen kritischer oder wesentlicher Funktionen.

Wir unterstützen Sie mit diesen Leistungen beim Thema Auslagerungen

  • der Entwicklung und Dokumentation von Auslagerungsstrategien und Auslagerungsrichtlinien
  • der Erstellung und Wartung des Auslagerungsregisters
  • der Durchführung der Due Diligence und Quality Assurance bei der laufenden Überprüfung der Dienstleister
  • der Implementierung und Adaptierung von Prozessen, Risk, Self-Assessments, IKS-Methoden und Backup Lösungen für Auslagerungen
  • der Durchführung von Risiko- und Szenarioanalysen sowie Festlegung der KPIs und KCIs für Auslagerungsdienstleister
  • der Durchsicht des Auslagerungsvertragswerkes und Integration von erforderlichen Klauseln

Ansprechpartner

MMag. Dominik Damm

MMag. Dominik Damm

Partner Risk Advisory | Deloitte Österreich

Dominik Damm leitet die von ihm gegründete Deloitte FSI Advisory Österreich seit 2002. Er hat in den vergangenen mehr als 15 Jahren erfolgreich eine breite Palette von Management-Lösungen und Service ... Mehr

Florian Studer

Florian Studer

Senior Manager Financial Advisory

Florian Studer ist seit 2010 Mitarbeiter bei Deloitte im Bereich der Financial Advisory. Er befasst sich vor allem mit verschiedenen regulatorischen Fragestellungen, insbesondere in den Themenbereiche... Mehr